H3C 防病毒技术白皮书

防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第1页，共8页 防病毒技术白皮书 关键词：病毒、防病毒、卡巴斯基、SafeStream 摘 要：本文介绍了H3C防病毒技术的基本原理和典型应用。 缩略语： 缩略语 英文全名 中文解释 AV Anti-Virus 防病毒 DoS Deny of Service 拒绝服务攻击 HTTP Hypertext Transfer Protocol 超文本传输协议 ICSA International Computer Security Association 国际计算机安全协会 IMAP Internet Message Access Protocol 互联网消息访问协议 POP3 Post Office Protocol, version 3 邮局协议的第3个版本 SMTP Simple Mail Transfer Protocol 简单邮件传输协议 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第2页，共8页 目 录 1 概述 .......................................................................................................................................3 1.1 产生背景 ......................................................................................................................3 1.2 H3C防病毒技术特点 ....................................................................................................3 2 技术实现 ................................................................................................................................4 2.1 概念介绍 ......................................................................................................................4 2.2 H3C防病毒模型 ...........................................................................................................5 2.2.1 应用识别引擎 .....................................................................................................6 2.2.2 防病毒响应 ........................................................................................................6 2.2.3 病毒库升级 ........................................................................................................7 3 典型组网应用 .........................................................................................................................7 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第3页, 共8页 1 概述 1.1 产生背景 计算机病毒是一组程序或指令的集合，它能够通过某种途径潜伏在计算机存储介质 或程序中，当达到某种条件（如特定时间或者特定网络流量等）时被激活，从而对 计算机资源进行一定程度的破坏。 计算机病毒，自诞生之日起，就伴随着计算机技术的发展而发展。从80年代的“小 球”、“石头”病毒起至今，计算机使用者都在和计算机病毒斗争，也创造了各种 防病毒产品和。但是随着Internet技术的发展，以及E-mail和一批网络工具的 出现，在改变人类信息传播方式的同时也使计算机病毒的种类迅速增加，扩散速度 也大大加快，计算机病毒的传播方式迅速突破地域的限制，由以往的单机之间的介 质传染转换为网络系统间的传播。现在，计算机病毒已经可以通过移动磁盘、光 盘、局域网、WWW浏览、E-Mail、FTP下载等多种方式传播。 近年来，计算机病毒呈现出新的变化趋势，各种病毒制作工具也日益泛滥，病毒制 作的分工也更加明细和程序化，计算机病毒制造者开始按照既定的病毒制作流程制 作病毒。计算机病毒的制造进入了“机械化”时代。据ICSA统计，现在每天有超 过20种新计算机病毒出现。同时，计算机病毒也逐渐以追求个人利益为目标，比如 目前流行的间谍软件、网游盗号木马、远程控制木马等，其目的就是通过网络在用 户不知情的状况下窃取有价数据或者财务信息，一旦企业或单位被病毒侵入并发 作，造成的损失和责任是难以承受的。 计算机病毒和计算机防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时 代。企业或单位只有拒病毒于网络之外，才能保证数据的真正安全。因此，保证计 算机和网络系统免受计算机病毒的侵害，让系统正常运行便成为企业和单位所面临 的一个重要问。 1.2 H3C防病毒技术特点 H3C的防病毒技术结合了基于会话流的高性能智能搜索算法和卡巴斯基的 SafeStream病毒库，以及多核操作系统分流技术对网络中的病毒流量进行检测和 清洗，克服了传统防病毒网关防病毒性能不足的诟病，为企业提供了一种全新的安 全解决方案。 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第4页, 共8页 同时，H3C的防病毒技术将病毒检测部署在企业网的入口，真正将病毒抵御于网络 之外，为企业网络提供了一个坚固的保护层。 2 技术实现 2.1 概念介绍 1. SafeStream病毒库 SafeStream病毒库是卡巴斯基实验室（Kaspersky AVLab）提供的病毒特征库， 并由卡巴斯基实验室进行维护和更新。卡巴斯基在全球各区域设有多个病毒采样 点，并在各采样点监测和收集病毒样本，然后由卡巴斯基实验室进行分析、提取特 征、测试，最后将病毒特征添加到SafeStream的病毒库中。 2. 病毒特征分类 H3C对于病毒特征的分类，沿用了卡巴斯基SafeStream病毒库的分类，将病 毒特征分为5类：Network Worms（网络蠕虫）、Classic Viruses（典型病毒）、 Trojan Programs（木马程序）、MalWare-Related Program（灰色软件）和Other MalWare（其他恶意程序）。具体的分类如表1所示。 表1 病毒特征的分类 分类 子类型 Worm Email-Worm IM-Worm IRC-Worm P2P-Worm Network Worms（网络蠕虫，例如：冲击波、尼 姆达、红色代码等） Net-Worm Virus Classic Viruses（典型病毒，例如：CIH病毒、灰 鸽子、宏病毒等） Macro Trojan Backdoor Rootkit Trojan-AOL Trojan Programs（木马，例如：下载器木马、 QQ木马等） Trojan-ArcBomb 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第5页, 共8页 分类 子类型 Trojan-Clicker Trojan-Downloader Trojan-Dropper Trojan-Notifier Trojan-Proxy Trojan-PSW Trojan-Spy BadJoke Client-IRC Dialer Downloader Porn-Dialer Porn-Downloader Porn-Tool PSWTool RemoteAdmin Server-FTP Server-Proxy Server-Telnet Server-Web MalWare-Related Program（灰色软件，例如： 下载器、服务器软件和广告软件等） Hoax Constructor DoS Flooder Exploit HackTool Other Malware（其他恶意代码，例如：DoS工 具、溢出工具等） Nuker 2.2 H3C防病毒模型 H3C防病毒技术利用自主研发的应用识别引擎，并结合卡巴斯基提供的 SafeStream病毒库，实现对网络流量的病毒检测和防御，其处理模型如图1所示。 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第6页, 共8页 SafeStream + + …… 图1 基于SafeStream病毒库的防病毒模型 2.2.1 应用识别引擎 H3C防病毒技术将卡巴斯基SafeStream病毒库中的病毒特征融入H3C应用识别引 擎，在对网络流量进行协议识别的基础上，结合SafeStream的病毒特征库，利用 内嵌的高性能内容搜索引擎进行病毒特征的检测。与传统的、基于固定特征的病毒 检测不同，H3C应用识别引擎在协议上下文的基础上进行深度病毒检测，这样可以 很好地避免误报的发生，有效地提高了病毒检测的准确性。对于H3C应用识别引擎 的介绍具体请参见《应用识别技术白皮书》。 2.2.2 防病毒响应 在检测到病毒时，H3C防病毒设备根据防病毒规则配置的动作做出响应。响应动作 可以是下面动作中的一个或多个的组合： (1) 通过（Permit）：对检测到的病毒报文不进行处理，允许其通过。 (2) 阻断（Block）：禁止病毒报文通过。对于阻断动作，除了阻断当前报文外， 对阻断还可以设置以下参数： z 对发送该病毒的源进行隔离。如果一个源被隔离，则后续所有报文都不能通 过；如果不隔离，则只丢弃检测到攻击的报文。 z 对于 TCP 应用，还可选择是否发送 TCP Reset 报文；如果要发送 TCP Reset 报文，可以选择向源方向、目的方向或者向双方发送。 z 对于 HTTP 访问，还可选择回应重定向报文或者回应指定的页面。在用户自 定义的回应页面中，可以增加规则名称、规则描述、以及其它自定义信息。 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第7页, 共8页 (3) 通知（Notify）：在检测到相应病毒时病毒事件。病毒事件可以输出到本 地数据库、通过 Email 通知管理员、输出到用户终端或 Syslog 主机。 2.2.3 病毒库升级 H3C病毒库的升级支持增量的在线升级方式，并且在升级的过程中不影响系统的正 常业务。病毒库升级完成后，系统自动切换病毒库版本，不需要重启设备。如果在 病毒库版本升级过程中发生异常而导致升级失败，系统会自动回退到上一个病毒库 版本，也不会影响系统的正常业务。 在H3C公司的网站上会实时更新病毒库，以保证对新的病毒及时响应。用户可以选 择手动或者自动升级的方式，从公司网站上获取最新的病毒库升级包，以达到最佳 的杀毒效果。 z 自动升级：用户只需要指定自动升级的时间和自动升级的周期，就能实现病 毒库的及时自动更新。为了避免由于网络状况不好造成的升级失败，建议用 户将自动升级的时间设置在网络流量较小的时间进行。 z 手动升级：用户可以从 H3C 网站上获取最新的病毒库升级包，然后选择手动 升级的方式进行病毒库的更新。 3 典型组网应用 H3C的IPS设备和UTM设备都有防病毒检测的功能，对网络上病毒的检测防范与这 两款产品形态的组网应用相关，对于这两款产品的组网应用不再赘述。下面以IPS 设备为例，介绍H3C防病毒检测的典型的组网应用。 防病毒技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第8页, 共8页 Internet IPS 图2 企业出口部署 在这种部署方式下，IPS设备以在线透明方式部署在业务网络的入口，对进出整个 网络的流量进行病毒检测，并根据用户配置的病毒响应策略对病毒进行阻断或者监 控。同时，该网络的部署并不影响企业网络的已有拓扑。 Copyright ©2009 杭州华三通信技术有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 本文档中的信息可能变动,恕不另行通知。 1 概述 1.1 产生背景 1.2 H3C防病毒技术特点 2 技术实现 2.1 概念介绍 1. SafeStream病毒库 2. 病毒特征分类 2.2 H3C防病毒模型 2.2.1 应用识别引擎 2.2.2 防病毒响应 2.2.3 病毒库升级 3 典型组网应用